Ultimas Noticias
-
Vulnerabilidad de Cross-Site Scripting en Plugins de WordPress con FancyBox JavaScript Library
Se ha identificado una vulnerabilidad de Cross-Site Scripting en varios plugins de WordPress que utilizan la librería JavaScript FancyBox (versiones 1.3.4 a 3.5.7), la cual permite a atacantes autenticados con nivel de contribuidor o superior inyectar scripts web maliciosos en páginas del sitio. Los plugins de WordPress afectados por esta vulnerabilidad no realizan una sanitización…
-
Clásico Addons – WPBakery Page Builder <= 3.0 – Inclusión de Archivo PHP Local Limitada Autenticada (Colaborador+)
El complemento Classic Addons – WPBakery Page Builder para WordPress es vulnerable a Inclusión de Archivo PHP Local Limitada en todas las versiones hasta, e incluyendo, 3.0 a través del parámetro ‘style’. Esto permite a atacantes autenticados, con acceso de nivel Colaborador y superior, y permisos otorgados por un Administrador, incluir y ejecutar archivos arbitrarios…
-
Vulnerabilidad en TI WooCommerce Wishlist <= 2.9.1 – Falta de autorización para el acceso no autenticado al asistente de configuración del plugin
La vulnerabilidad en el plugin TI WooCommerce Wishlist para WordPress se debe a la falta de verificación de capacidades en la función ‘asistente’ en todas las versiones hasta, e incluyendo, la 2.9.1. Esto permite que atacantes no autenticados creen nuevas páginas, modifiquen la configuración del plugin y realicen actualizaciones de opciones limitadas. Los usuarios afectados…
-
Vulnerabilidad de Cross-Site Scripting en WP eCards <= 1.3.904
El plugin WP eCards para WordPress es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘ecard’ en todas las versiones hasta la 1.3.904. Esto se debe a una insuficiente sanitización de la entrada y escape de la salida en los atributos proporcionados por los usuarios. Esto permite a atacantes autenticados, con acceso de nivel…
-
B Testimonial – Plugin de testimonios para WP <= 1.2.2 – Cross-Site Scripting almacenado autenticado (Contributor+)
La vulnerabilidad de Cross-Site Scripting almacenado en el plugin B Testimonial – testimonial para WordPress permite a atacantes autenticados inyectar scripts maliciosos en páginas web. El plugin B Testimonial – testimonial para WP hasta la versión 1.2.2 es vulnerable a Cross-Site Scripting almacenado a través del shortcode ‘b_testimonial’ del plugin debido a una sanitización insuficiente…
-
Vulnerabilidad de autorización ausente en el plugin de documentación y wiki BasePress Docs <= 2.16.3.3
La vulnerabilidad CVE-2024-10664 encontrada en el plugin de WordPress Knowledge Base documentation & wiki – BasePress Docs permite a atacantes autenticados con nivel de acceso de Suscriptor o superior modificar datos de forma no autorizada. El plugin BasePress Docs en versiones anteriores a la 2.16.3.3 no realiza la verificación de capacidades adecuada en la función…
-
Vulnerabilidad de Reflected Cross-Site Scripting en Intro Tour Tutorial DeepPresentation <= 6.5.2
La vulnerabilidad de Reflected Cross-Site Scripting en el plugin Intro Tour Tutorial DeepPresentation para WordPress pone en riesgo la seguridad de los sitios web que lo utilizan. El plugin presenta una vulnerabilidad de Reflected Cross-Site Scripting a través del parámetro ‘tab’ en todas las versiones hasta la 6.5.2. Esto se debe a una insuficiente sanitización…